Aim Web API 远程代码执行
Aim Web API 远程代码执行 原创 Jacky jacky安全 2024-03-07 20:28 摘要 漏洞类型:远程代码执行(RCE) 产品:目标 版本:>= 3.0.0(afaik) 受影响的端点: /api/runs/search/run/ 严重性:临界 描述 在aim 项目中发现了一个关键的远程代码执行漏洞,特别是在/api/runs/search/run/ 端点中。该漏洞
继续阅读分类: vx
行业 | 绿盟科技中标重要项目 助力云南移动漏洞管理平台建设
行业 | 绿盟科技中标重要项目 助力云南移动漏洞管理平台建设 中国信息安全 2024-03-07 19:42 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近日,据中国移动发布的“中国移动云南分公司2023年新建漏洞管理平台研发项目漏洞平台”中标结果显示,绿盟科技以综合排名第一(196.63万元)成功中标。 网络安全领域漏洞管理始终是企业脆弱性风险管控的核心。
继续阅读【在野利用】Apple iOS 与 iPadOS 多个在野高危漏洞安全风险通告
【在野利用】Apple iOS 与 iPadOS 多个在野高危漏洞安全风险通告 网安百色 2024-03-07 19:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apple iOS 与 iPadOS 多个在野高危漏洞 漏洞编号 CVE-2024-23296、CVE-2024-23225 公开时间 2024-03-05 影响量级 千万级 奇安信评级 高危 CVSS 3.
继续阅读【漏洞通告】Apache InLong反序列化漏洞(CVE-2024-26580)
【漏洞通告】Apache InLong反序列化漏洞(CVE-2024-26580) 网安百色 2024-03-07 19:30 一、漏洞概述 漏洞名称 Apache InLong反序列化漏洞 CVE ID CVE-2024-26580 漏洞类型 反序列化 发现时间 2024-03-07 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP
继续阅读【安全圈】Android发布3月更新,解决了38个漏洞
【安全圈】Android发布3月更新,解决了38个漏洞 安全圈 2024-03-07 19:00 关键词 安全更新 周一宣布的 Android 安全更新解决了 38 个漏洞,包括系统组件中的两个严重性问题。 这两个严重缺陷会影响 Android 12、12L、13 和 14,并被跟踪为 CVE-2024-0039 和 CVE-2024-23717,分别可能导致远程代码执行和权限提升。 “这些问题中
继续阅读TangGo测试平台|逻辑漏洞测试系列-垂直越权漏洞
TangGo测试平台|逻辑漏洞测试系列-垂直越权漏洞 糖果 无糖反网络犯罪研究中心 2024-03-07 18:30  组件名称: TeamCity 影响范围: TeamCity < 2023.11.4 漏洞类型: 身份认证绕过 利用条件:
继续阅读Laykefu客服系统任意文件上传漏洞复现(附POC)
Laykefu客服系统任意文件上传漏洞复现(附POC) AI与网安 2024-03-07 07:01 part.01 漏洞简介 Laykefu客服系统 /admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求中Cookie中的”user_name“不为空时即可绕过登录系统后台,未经身份验证的攻击者可利用此问题,上传后门文件,获取服务器权限。 part.02 漏洞复现
继续阅读【漏洞复现】CVE-2024-2074
【漏洞复现】CVE-2024-2074 原创 fgz AI与网安 2024-03-07 07:01 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Mini-Tmall SQL注入漏洞 02 — 漏洞影响 <= 20231017版本 03 —
继续阅读网络安全知识:漏洞管理五大原则(英国NCSC)
网络安全知识:漏洞管理五大原则(英国NCSC) 何威风 河南等级保护测评 2024-03-07 00:00 英国的 NCSC给出了一个关于漏洞管理的指导性文件,在面对系统漏洞时,全世界都存在着共同的问题,而方法论或许有些许不同,不过总体来说都是客观的处理方式。 我们译介过来,权当我们的他山之石,为我所用。 而其中国情不一致的地方,则采取拿来主义,取其精华去其糟粕即可。 所有系统都存在漏洞。它们可能
继续阅读【漏洞预警】LangChain 远程代码执行漏洞(CVE-2024-28088)
【漏洞预警】LangChain 远程代码执行漏洞(CVE-2024-28088) cexlife 飓风网络安全 2024-03-06 22:54 漏洞描述: LangChain是一个旨在帮助开发人员使用语言模型构建端到端的应用程序的框架,支持配置不同的链调用,langchain-experimental是一个用于研究和实验目的的Python包,由于langchain在load_chain中存在路径
继续阅读【漏洞预警】VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252)
【漏洞预警】VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252) cexlife 飓风网络安全 2024-03-06 22:54 漏洞描述: VMware是一家提供虚拟化解决方案的软件公司,它提供了多个虚拟化产品,其中包括VMware ESXi虚拟化操作系统、VMware Workstation、VMware vSphe
继续阅读一次十分详细的漏洞挖掘记录,新思路+多个高危
一次十分详细的漏洞挖掘记录,新思路+多个高危 迪哥讲事 2024-03-06 22:01 “cookie中缺少了JSESSIONID,这时候我拿缺少JSESSIONID的包去修改userid居然发现成功了。Cookie变成了万能cookie,可以用于任意用户的信息修改。删除了JSESSIONID,创造了一个万能用户的标识。” 01 — 起因 最近补习班机构开设了一套机考系统,需要集赞才能够领取使用
继续阅读逻辑漏洞测试系列-水平越权漏洞
逻辑漏洞测试系列-水平越权漏洞 糖果 信安404 2024-03-06 20:16 **** **阅读须知** **本文所述之信息,只作为网络安全人员对自己所负责的网站及服务器进行检测和维护等运维行为的参考。未经合法授权请勿使用本文中的工具、技术及资料,对任何计算机系统进行入侵活动。利用本文所提供的信息所造成的直接或间接后果,及其所引发的损失,均由使用者承担。本文所提供的工具及方法仅用于学习,禁止
继续阅读CVE-2023-46805&CVE-2024-21887 Ivanti connect secure RCE分析
CVE-2023-46805&CVE-2024-21887 Ivanti connect secure RCE分析 原创 chestnut 闲聊趣说 2024-03-06 20:03 前言 有一个半月没发过文章了,简要地看了一下这个RCE链原理,以及博客网站换成了www.ch35tnut.com,原先的快到期了,看了一下续费要20刀,买个.com的一年才10刀,果断换成.com域名了。 基
继续阅读【漏洞通告】VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252)
【漏洞通告】VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252) 网安百色 2024-03-06 19:40 一、漏洞概述 漏洞名称 VMware ESXi & Workstation & Fusion释放后使用漏洞 CVE ID CVE-2024-22252、CVE-2024-22253 漏洞
继续阅读信息安全漏洞周报(2024年第10期)
信息安全漏洞周报(2024年第10期) 网安百色 2024-03-06 19:40 点击蓝字 关注我们 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年2月26日至2024年3月3日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞962个。 接报漏洞情况 本周CNNVD接报漏洞13157个,其中信息技术产品漏洞(通用型漏洞)291个,网络信息系统漏洞(事件型漏洞)86个,漏
继续阅读苹果曝出两个 iOS 系统 0-Day 漏洞
苹果曝出两个 iOS 系统 0-Day 漏洞 小王斯基 FreeBuf 2024-03-06 19:07 最近,苹果公司发布了紧急安全更新,解决了两个 iOS 零日漏洞。这些漏洞存在于 iOS 内核(CVE-2024-23225)和 RTKit(CVE-2024-23296)中,威胁攻击者可利用其绕过内核内存保护,这就给了具备任意内核读写权限的威胁攻击者可乘之机。 苹果公司表示,他们的内部安全团队
继续阅读【安全圈】未落实网络安全,存在安全漏洞,北京5家公司被罚!
【安全圈】未落实网络安全,存在安全漏洞,北京5家公司被罚! 安全圈 2024-03-06 19:01 关键词 黑客勒索 近期,北京市公安局网安部门加大对不履行网络安全保护义务违法行为的打击力度,切实压紧压实网络运营者的主体责任,对未建立管理制度、不履行网络信息安全管理义务的多家违法企业依法给予行政处罚。 01 北京某科技信息服务有限责任公司所属网站内出现涉赌违法信息。 该公司官网为静态页面,涉事服
继续阅读【安全圈】苹果推出紧急补丁,以修复iSO平台中的多个安全漏洞
【安全圈】苹果推出紧急补丁,以修复iSO平台中的多个安全漏洞 安全圈 2024-03-06 19:01 关键词 零日漏洞 苹果周二推出了一项紧急软件更新,以修复其旗舰iOS平台中的多个安全漏洞,并警告说,有证据表明存在零日漏洞。 这家库比蒂诺设备制造商发布了几个移动操作系统更新——iOS 17.4、iPadOS 17.4 和 iOS 16.7.6——以涵盖安全漏洞并确认在野外利用,并附上一条简短的
继续阅读TangGo测试平台|逻辑漏洞测试系列-水平越权漏洞
TangGo测试平台|逻辑漏洞测试系列-水平越权漏洞 糖果 无糖反网络犯罪研究中心 2024-03-06 18:29 **** **阅读须知** **本文所述之信息,只作为网络安全人员对自己所负责的网站及服务器进行检测和维护等运维行为的参考。未经合法授权请勿使用本文中的工具、技术及资料,对任何计算机系统进行入侵活动。利用本文所提供的信息所造成的直接或间接后果,及其所引发的损失,均由使用者承担。本文
继续阅读CVE-2024-27198:JetBrains TeamCity 身份验证绕过漏洞通告
CVE-2024-27198:JetBrains TeamCity 身份验证绕过漏洞通告 原创 360CERT 三六零CERT 2024-03-06 18:13 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-729 报告来源:360CERT 报告作者:360CERT 更新日期:2024-03-06 1 漏洞简述 2024年03月06日,360CERT监测发现JetBrains发布
继续阅读【论文速读】 | AI驱动修复:漏洞自动化修复的未来
【论文速读】 | AI驱动修复:漏洞自动化修复的未来 原创 知识分享者 安全极客 2024-03-06 18:05 本次分享论文为: AI-powered patching: the future of automated vulnerability fixes 基本信息 原文作者: Jan Nowakowski, Jan Keller 作者单位: Google Security Engineer
继续阅读winrar(CVE-2023-38831)漏洞原理
winrar(CVE-2023-38831)漏洞原理 time.time 看雪学苑 2024-03-06 17:59 WinRAR是最受欢迎的压缩工具之一,在全球拥用超过5亿用户。2023 年 7 月 10 日,国外威胁情报机构Group-IB研究DarkMe恶意软件传播时,在 WinRAR 处理 ZIP 文件格式中发现了一个以前未知的漏洞。通过利用该程序中的漏洞,威胁行为者能够制作 ZIP 存档
继续阅读VMware修复多个严重的ESXi 沙箱逃逸漏洞
VMware修复多个严重的ESXi 沙箱逃逸漏洞 Ryan Naraine 代码卫士 2024-03-06 15:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,虚拟化技术厂商 VMware 紧急修复企业级产品 ESXi、Workstation、Fusion 和 Cloud Foundation 产品中的多个严重漏洞。 VMware 公司发布了四个漏洞,并提醒称其中最严重的漏洞
继续阅读苹果紧急修复已遭利用的两个新 iOS 0day漏洞
苹果紧急修复已遭利用的两个新 iOS 0day漏洞 Lawrence Abrams 代码卫士 2024-03-06 15:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果发布紧急安全更新,修复了已被用于攻击 iPhone 的两个 iOS 0day漏洞。 苹果公司在周二发布的安全公告中提到,“苹果从一份报告中了解到该漏洞可能已遭利用。”这两个漏洞位于 iOS Kernel (CVE-
继续阅读CVE-2024-25735漏洞复现(附POC)
CVE-2024-25735漏洞复现(附POC) 原创 fgz AI与网安 2024-03-06 07:01 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 WyreStorm Apollo VX20 信息泄露漏洞 02 — 漏洞影响 WyreSt
继续阅读【刻刀】一款java漏洞集合工具-hyacinth
【刻刀】一款java漏洞集合工具-hyacinth Enomothem Eonian Sharp 2024-03-06 03:49 0x01 声明 该公众号分享的安全工具和项目均来源于网络,仅供学术交流,请勿直接用于任何商业场合和非法用途。如用于其它用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 0x02 hyacinth 项目地址 https://github.com/pure
继续阅读海康威视修补安全管理系统中的高危漏洞
海康威视修补安全管理系统中的高危漏洞 铸盾安全 河南等级保护测评 2024-03-06 00:52 HikCentral Professional 中的安全漏洞 SN 号 HSRC-202403-01 编辑: 海康威视安全响应中心(HSRC) 首次发布日期: 2024-03-01 概括 (1) 由于服务器端验证不充分,成功利用此漏洞可能使攻击者能够访问某些攻击者不应访问的 URL。 (2) 由于
继续阅读